病毒名称:
Worm.RPC.Sdbot
类别: 蠕虫病毒
病毒资料:
破坏方法:
使用RPC漏洞传播的蠕虫病毒一旦执行,将释放以下两个文件到系统目录:
winlogin.exe
yuetyutr.dll
WINLOGIN.EXE :就是蠕虫“Worm.RPC.Sdbot”,它将YUEYUTR.DLL注入到资源管理器的进程内存中YUEYUTR.DLL :是此病毒用来传播的组件,它运行后将探测网络上存在RPC DCOM漏洞的机器,如果存在病毒则在此机器上打开4444端口,运行一个远程shell,随后创建一个线程来模拟一个TFTP服务器,病毒随后命令中毒机器从本机TFTP服务器下载winlogin.exe并执行,进行下一次传播流程。
其它信息:
病毒使用的是SDBOT的变种,一种IRC病毒,此种SDBOT是一种后门病毒,它可以连接到指定的IRC服务器上并使用随机的昵称加入到指定的channel中。
病毒通过Microsoft windows的RPC漏洞进行传播RPC漏洞详情请访问微软网站:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.ASP
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Runonce
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
NdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = "eXPlorer.exe winlogin.exe"
在Windows 95, 98, and ME系统上,病毒修改文件:SYSTEM.INI
[boot]
shell = explorer.exe winlogin.exe
4444.691.在win2k下有可能导致资源管理启动异常
2.病毒进行RPC DCOM漏洞探测时可能导致系统重启
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-8-14
